Endesa Energía ha reconocido un grave incidente de seguridad en su plataforma comercial que ha permitido un acceso no autorizado e ilegítimo a información de clientes relacionada con sus contratos de luz y gas. Como consecuencia de este acceso, se habrían extraído datos personales sensibles, entre ellos documentos de identidad, datos de contacto y los medios de pago asociados a los contratos, como el IBAN de las cuentas bancarias.
Según ha comunicado la propia compañía a los usuarios afectados mediante un correo electrónico, un "actor malicioso" logró sobrepasar las medidas de seguridad implementadas en sus sistemas. La investigación iniciada por Endesa Energía apunta a que dicho actor “habría tenido acceso y podría haber exfiltrado” información identificativa básica, datos de contacto, números de documento nacional de identidad y datos bancarios, si bien la empresa subraya que en ningún caso se han visto comprometidas las contraseñas de acceso.
Aunque por el momento no consta que los datos sustraídos estén siendo utilizados de forma fraudulenta, la compañía advierte de que existe el riesgo de que puedan emplearse para intentos de usurpación o suplantación de identidad, su publicación en foros digitales o su uso en campañas de phishing y spam dirigidas a los clientes afectados.
Endesa Energía considera “improbable” que el incidente derive en una afectación de alto riesgo para los derechos y libertades de los usuarios, pero recomienda extremar la precaución ante posibles comunicaciones sospechosas en los próximos días. En este sentido, insta a los clientes a comunicar cualquier anomalía o intento de fraude a través del teléfono de atención habilitado, el 800 760 366.
Nada más tener conocimiento del incidente, la compañía activó los protocolos y procedimientos de seguridad establecidos, así como todas las medidas técnicas y organizativas necesarias para contener el acceso no autorizado, mitigar sus efectos y prevenir que se repita en el futuro. Asimismo, Endesa Energía ha notificado el suceso a las autoridades competentes y mantiene abierta la investigación tanto a nivel interno como con sus proveedores tecnológicos.
El portal especializado Escudo Digital, que informó del presunto ciberataque el pasado 6 de enero, señaló que el pirata informático responsable habría publicado detalles del ataque en un foro de la dark web el domingo 4 de enero. Según este medio, el atacante afirmaba haber obtenido más de un terabyte de información correspondiente a más de 20 millones de personas.
De acuerdo con la información difundida por Escudo Digital, el volumen y la sensibilidad de los datos sustraídos serían elevados e incluirían datos personales, financieros, energéticos y regulatorios, como nombres y apellidos, direcciones postales, IBAN, historiales de facturación, identificadores de puntos de suministro (CUPS), contratos activos de luz y gas, así como información vinculada a incidencias y listas regulatorias.